（

1）防止恶意代码注入 

　　①验证输入，使攻击者无法注入脚本代码或使缓冲区溢出。

 

　　②对所有包含输入的输出进行编码。这样可以防止客户端误将潜在的恶意脚本标记作为
代码进行转换。

 

　　③使用接受参数的存储过程，防止数据库将恶意ＳＱＬ输为可执行语句进行处理。同时
使用特权最低的进程账户和模拟账户。在攻击者企图应用程序的安全漏洞执行代码时，可缓
解风险并减少损害。

 

　　（

2）防止会话劫持 

　　①分隔个性化

cookie 和身份验证 cookie。 

　　②仅通过

HTTPS 连接传递身份验证 cookie。 

　　③不传递在查询字符串中代表已通过身份验证的用户标识符。

 

　　作为一名网络或者网站管理员，有责任同时也有义务做好网站的维护与管理，这就需
要我们管理人员时刻保持虚心学习的心态，时刻关注新的管理技术与安全防御技术。对于已
经出现的安全问题应该用最快、最有效的方法加以解决，对于目前还未出现的安全问题要有
预见性。这样才能成为一名优秀的网络管理员。

 

　　

 

　　【参考文献】

 

　　［

1］沈文智．MicrosoftBS 网页技术［M］．北京：人民邮电出版社．2008． 

　　［

2］沈昌样．网络安全与信息战［J］．网络安全技术与应用．2001（8）． 

　　［

3］骆耀祖，龚洵禹．动态网页设计教程［M］．广州：中山大学出版社，2002． 

　　［

4］骆耀祖，刘永初等．计算机网络技术及应用［M］．北京：清华大学出版社、北

京：北方交大出版社，

2003． 

　　【收稿日期】

2010 年 11 月 10 日 

　　【作者简介】张继先：就职于天津海河建设发展投资有限公司，同济大学软件工程硕士
班学员。